Изтеклите данни от НАП са под 1% от тези, до които е имало достъп
Държавната администрация е силно неподготвена откъм киберсигурност, препоръките за промени са от технически до законодателни
Вечерни новини
Всяка делнична вечер получавате трите най-четени статии от деня, заедно с още три, препоръчани от редакторите на "Капитал"
Под 1% от данните на НАП, до които е имало неоторизиран достъп, са били разпространени в интернет след миналогодишния пробив в данъчната агенция. Това става ясно от доклада на временната анкетна комисия в Народното събрание, която се занимаваше със случая. В дългия над 20 страници (и над 70 с приложенията) доклад са описани както детайли около случая, така и продължаващи проблеми сред информационните системи в държавната администрация.
Комисията дава и конкретни препоръки, които да доведат до по-високо ниво на киберсигурност и по-тежки наказания за компютърни престъпления в Наказателния кодекс, до голяма степен повтарящи вече съществуващите предложения на вицепремиера Марияна Николова.
Финалната сметка за теча, който се случи през юли миналата година, е, че са изтекли данните на 6.07 млн. български граждани. От тях обаче "само" 4.1 млн. са активни. Броят на изтеклите активни ЕГН-та е 4.05 млн., т.е. на почти всички засегнати.
Интересното в доклада е, че според последвалата проверка "информацията, разпространена в интернет, е 10.7 гигабайта, но размерът на данните с неоторизиран достъп на сървър на НАП е 1.73 терабайта". Не става ясно дали тези данни са били откраднати и в момента съществуват извън държавните сървъри, или просто е имало достъп до тях, без да са били свалени.
За престъплението бяха привлечени трима обвиняеми от компанията за киберсигурност "ТАД груп" - служителят Кристиян Бойков, директорът Георги Янков и собственикът Иван Тодоров. Тримата са с по две обвинения - за участие в организирана престъпна група и за тероризъм. Вследствие на теча Комисията за защита на личните данни (КЗЛД) обяви 5.1 млн. лв. глоба за НАП. Агенцията обжалва санкцията, която оценява личните данни на българските граждани на малко над 1 лв. "на глава", но в защита на КЗЛД това е максималната възможна глоба според текущия закон.
Оттогава насам от НАП са добавили няколко допълнителни слоя киберзащита на системата си. Агенцията е създала и по-стриктни правила за достъп до защитната стена на информационната система.
Колко неподготвени сме всъщност
Докладът може да се разглежда и като дълъг текст, обясняващ колко неподготвена всъщност е държавната администрация за кибератаки. Показателно е, че течът от НАП се случи след сравнително прост пробив (т.нар. SQL Injection), докато по света има много по-сложни технологии за разбиване на системи. За първите осем месеца на 2019 г. е имало общо 54 инцидента с киберсигурността в държавната администрация, 10% от общия брой в страната.
Според данните в доклада в българската държавна администрация в момента има 5009 системи за общо 495 администрации, но само за 69% от тях е "осигурена техническа поддръжка, гарантираща работоспособност".
Другата информация също е обезпокоителна. Според проверка на Държавната агенция електронно управление (ДАЕУ) "част от администрацията има непълна информация за софтуера, който използва"; "използва се софтуер без поддръжка от производителя"; "липсват вътрешни правила за докладване на инциденти и план за действие"; "не се актуализира софтуерът и рядко се наблюдава трафикът"; "има слабости по отношение на антивирусния софтуер".
ДАЕУ посочва също, че щатът на софтуерните специалисти в държавната администрация остава незапълнен. Причината е в ниското заплащане спрямо частните IT компании в страната, които държат летвата високо. В това отношение е и една от препоръките за промяна: вдигане на горната граница за заплатите на компютърните специалисти.
Констатациите на КЗЛД са подобни. "НАП са приоритизирали обслужването на физически лица чрез електронни услуги за сметка на защитата на личните данни", пишат представители на комисията.
Сега накъде
В доклада се посочва още, че "през последните 20 години системите на държавната администрация са били изграждани поетапно като самостоятелни системи, удовлетворяващи функциите на съответната администрация" и съответно има нужда от унифициран подход. Това е основният аргумент, който правителството използва, за да направи фирмата "Информационно обслужване" единствен системен интегратор за общо 27 държавни институции в края на миналата година, включително и Министерството на финансите и НАП.
Повечето препоръки на комисията са сравнително стандартни: одит на всички централни и общински администрации, добавка на клауза за носене на отговорност на изпълнителите, задължителни обучения сред институциите и допълнителни изисквания за конфигурация на специализиран софтуер.
Другите предложения са свързани с по-тежки наказания за киберпрестъпления в НК и нова дефиниция за "компютърни престъпления". Вероятно именно заради леките наказания за киберпрестъпления, които законът предвижда към момента (от една до три години затвор), прокуратурата реши да обвини представителите на "ТАД груп" в тероризъм.
2 коментара
Това обяснение/оправдание е толкова глупаво и безмисленно, че единственно може да се сравни с нещо подобно, примерно:
Обраха 1% от населението, макар да са имали достъп до всички, но са обрали най-богатата част от населението!
(най-богатите 1% притежават над 80% от богатството)
Браво, да им раздадем и по 20 хил. лв.. на калпак великденски бонуси на НАП-аджиите. Този път трябва да подкрепя наблюдателчето. Не е важно количеството, а качеството. То и Пеевски беше шеф на ДАНС за една вечер, но му беше достатъчна явно, за да не го закачат следващите години.
Нов коментар
За да публикувате коментари,
трябва да сте регистриран потребител.